Клаудио Гуарниери и Джошуа Франко — Amnesty International
Коллин Андерсон – независимый исследователь
Расул Джафаров является известным юристом и правозащитником в Азербайджане. В середине октября 2016 года он получил неожиданный телефонный звонок.
«Один мой коллега позвонил мне и сказал, что получил письмо и прикрепленный к нему файл от меня, в письме говорится о политических заключенных. Он сказал, что знает мой электронный адрес и уверен, что это письмо отправил не я», — сказал Р.Джафаров Amnesty International.
Как оказалось, адрес электронной почты был похож на адрес Расула Джафарова, а упомянутый другом файл содержал вирус.
После аналогичного случая, когда Расулу еще один его друг сообщил, что получил такое же письмо и считает, что кто-то просто выдает себя за него, Расул предупредил своих друзей и коллег в соцсетях:
«Я сообщил им, что на мое имя зарегистрирована электронная почта, которая в действительности мне не принадлежит. Если вы получите что-то с этого адреса, знайте, что это не я, и кто-то другой посылает вам эти письма».
Его предостережение было оправданным.
Если бы друзья открыли приложение, отправленное от имени Джафарова, файл установил бы на компьютере вредоносные программы, которые передали бы скриншоты злоумышленнику, подвергая этим риску все их пароли, контакты и частные переписки. Чтобы не вызывать подозрений, вредоносное ПО создавали на азербайджанском языке документ, касающийся политических заключенных, поэтому у жертвы не было бы оснований думать, что компьютер заражен.
Amnesty International, при работе с другими людьми, обнаружила, что эта электронная почта является частью длительной кампании, которая уже в течение тринадцати месяцев выбрала своей мишенью азербайджанских активистов.
Когда Джафаров узнал об атаке, то решил, что за этим могут стоять службы безопасности Азербайджана. Оглядываясь на его прошлое, Расула можно понять.
В апреле 2015 года Расул Джафаров был приговорен к шести с половиной годам лишения свободы по обвинениям в нелегальном предпринимательстве, злоупотреблении служебными полномочиями, подлоге и присвоении денег.
«Расул Джафаров лишен свободы по надуманным обвинениям лишь за то, что он реализовал свое право на свободу выражений и объединений», — говорится в заявлении международной организации Amnesty International. Причиной его ареста было выявление нарушения прав человека в Азербайджане, и кампания в преддверии конкурса «Евровидение» — считают международные правозащитные организации.
Amnesty İnternational признала его узником совести и потребовала немедленного освобождения. Европейский суд по правам человека также установил, что при задержании были нарушены его права. Отбыв полтора года в тюрьме, указом президента он был помилован.
В случае с Расулом Джафаровым ничего необычного нет. Азербайджанские активисты и правозащитники, обратившиеся в Amnesty, ссылались на похожие случаи.
Аналогичный случай произошел с бывшим узником совести Лейлой Юнус. Она говорит, что долгие годы, особенно в преддверии ее ареста в июле 2014 года, ее электронные адреса сталкивались с такой угрозой. Иногда на ее имя открывали профиль на Фейсбук и фейковые электронные адреса с незначительной разницей в названии. Несколько раз взламывался ее профиль на Фейсбук, и ей ничего не оставалось, кроме как удалить его.
Правозащитник Эльшан Гасанов, занимающийся делами преследуемых по политическим мотивам, также сообщил Amnesty International, что он несколько раз лишался профиля на Фейсбук из-за нежелательных писем от его имени.
Ситуация с правами правозащитников в Азербайджане
В марте 2016 года в Азербайджане были выпущены на свободу восемь узников совести. Тем не менее, еще много узников совести по-прежнему остаются за решеткой, и продолжающиеся репрессии против правозащитников делают их работу в сфере прав человека практически невозможной.
Amnesty International обеспокоена тем, что власти Азербайджана не выполняют свои международные обязательства в сфере таких фундаментальных прав, как свобода выражения и свобода собрания. Критики в стране часто сталкиваются с сфабрикованными уголовными обвинениями, физическим насилием, преследованиями, шантажом и другими репрессиями со стороны властей и связанных с ними групп. Сотрудники правоохранительных органов регулярно безнаказанно используют пытки и другие виды жестокого обращения с задержанными активистами гражданского общества.
Онлайн давление и преследования в Азербайджане
Правозащитники, независимые журналисты и оппозиционные политические активисты в Азербайджане часто сталкиваются с оскорбительными комментами и угрозами в социальных сетях.
Европейский суд по правам человека заявляет, что законы Азербайджана предоставляют властям прямой доступ к коммуникационным сетям, позволяют следить за электронной почтой.
Азербайджанские диссиденты не раз сообщали о хакерских атаках. Исследования Citizen Lab показывают, что Азербайджан приобрел у итальянской компании Hacking Team программное обеспечение для взлома профилей.
Понятие «преследование» и его влияние на азербайджанских активистов
Правозащитники сообщили Amnesty International, что наличие пробелов в законе и практика государственного преследования в Азербайджане создает атмосферу страха, которая подрывает их работу.
Тургут Гамбар, молодежный активист в Азербайджане, сказал Amnesty International:
«В целом, что касается слежки, то в обществе сложилось такое представление, что сегодня за каждым кто-то следит. Я с уверенностью могу сказать, что наши телефоны постоянно прослушиваются. Что касается других платформ – Фейсбука, компьютеров — все это на уровне слухов, но и этих слухов достаточно, чтобы заставить активистов быть постоянно начеку.
Представьте себе, что ваша личная жизнь или переписка, связанная с работой, контролируется: это создает неудобства для людей. Они не могут открыто переписываться. Из-за этой атмосферы страха люди предпочитают встречаться лицом к лицу».
Расул Джафаров сказал Amnesty International: «Я считаю, что власть старается внимательно следить за всеми, кто критикует правительство, осуществляет различные виды деятельности или проекты, кампании, которые не нравятся правительству».
Даже Лейла и Ариф Юнусы, которые покинули Азербайджан и живут в Нидерландах, подвержены давлению: в рамках этой кампании была создана электронная почта на имя Лейлы Юнус, ее компьютер был взломан с помощью вредоносного ПО. Ее беспокоило то, что это может создать проблемы для тех, с кем она общалась:
«Мы действительно не общаемся ни с кем, мы не звоним в Баку близким друзьям, мы не разговариваем с родственниками. Мы общаемся с тремя-четырьмя правозащитниками, которые рискуют, как и мы. Потому что, если они (власти) узнают, что в Баку есть люди, которые нам дороги, они арестуют их, чтобы заставить нас замолчать. Но даже если они арестуют всех наших родственников, друзей, мы продолжим свою работу. Мы говорим об этом, потому что если этот вирус вскроет наши переписки, то в опасности будем не только мы, но и наши коллеги и друзья».
Расул Джафаров сказал Amnesty International, что эта кампания является предвестником того, что ситуация может ухудшиться.
«Мы были очень разочарованы. Когда мы вышли из тюрьмы, у меня и многих моих друзей появилась надежда. Хотя это была довольно слабая надежда, но мы думали, что отношение правительства, служб безопасности или правоохранительных органов к правозащитникам и организациям гражданского общества изменилось. Когда мы столкнулись с такой кампанией, первое, что пришло мне в голову, было то, что это дел рук служб безопасности, и их целью было получение паролей электронных почт или общего доступа к компьютерам. Я был разочарован этим и тогда все наши надежды умерли».
Технические возможности
Правительство Азербайджана в течение 13 месяцев с использованием специального вредоносного агента нацелилось на критиков правительства. За последнее время усилилась атака на профили в социальных сетях. Кампания в основном направлена против правозащитников, журналистов и диссидентов. В отчете VirtualRoad.org «Атаки на веб-сайты в Азербайджане совершаются из правительственных инфраструктур» также говорится об этой кампании.
Вирусные атаки не были совершенными, в какой-то степени их даже можно назвать крайне примитивными. Однако в сочетании с попытками социальной инженерии и неподготовленной публикой эта тактика остается эффективной.
Использование имен активистов
После создания новой электронной почты на имя Расула Джафарова, в октябре 2016 года было осуществлено несколько операций. Об этом можно сказать, исходя из результатов анализа Amnesty International. Похоже, что начиная с ноября 2015 года, азербайджанские «актеры» неоднократно использовали вирусные программы, направленные против политических диссидентов и правозащитников в Азербайджане.
В двух случаях Amnesty International смогла определить цели нападений, потому что скриншоты атакующих, которые контактировали с объектами через Фейсбук-мессенджер, позднее были раскрыты.
В первом из этих случаев, в январе 2016 года был взломан сайт администратора Anonimous Azerbaijan. Злоумышленник отправил ему вредоносное ПО, сообщив, что это пиратская версия Havij. С тех пор группы на Фейсбук, которыми он управлял, его личный профиль и сайт исчезли. Из снимков интернет-архивов форума Anonimous Azerbaijan видно, что он был приостановлен хостинговой компанией.
Во втором случае пользователь профиля в Фейсбук, который якобы принадлежал писателю Садаю Шекерли, написал администратору страницы Канал 13 на Фейсбука. В это время Садай Шекерли находился под арестом по обвинению в уклонении от уплаты налогов. Новость, размещенная на странице Шекерли, — вирус в формате Word-документ.
В результате злоумышленники прибрали к рукам доступ к сообщениям Kanal 13 в течение чуть более недели, документируя внутренние операции и личные переписки. Сотрудники Kanal 13 столкнулись с преследованиями и арестами. Хотя никаких доказательств того, что вредоносная атака и последующее судебное преследование связаны между собой нет, интересно отметить, что есть примеры, когда те, кто становился мишенью вредоносных программ, впоследствии привлекались к следствию.
Попытки против Anonimous Azerbaijan и Kanal 13 являются примером атак с вредоносными программами. Другие образцы вредоносного ПО представляют собой обновления для Adobe Flash, что является общей тактикой при аналогичных атаках.
Во время очередной атаки было отправлено приглашение на прием в посольстве США в Баку. Несколько активистов заявили, что получили это приглашение.
В большинстве случаев, как и в случае с Расулом Джафаровым, вредоносное ПО пытается открыть документ Office, который внешне не вызывает подозрения.
Эти файлы часто касались вопросов, имеющих отношение к получателям. В одном из последних случаев в вирусном документе был список «политических заключенных в Азербайджане» по состоянию на ноябрь 2016 года. В метаданных документа говорится, что приложение было первоначально создано «leyla_yunus» — со ссылкой на азербайджанского правозащитника Лейлу Юнус.
Другая вирусная атака была направлена против Рамина Гаджилы, президента Европейского движения Азербайджана. В 2015 году, в разгар предвыборной кампании парламентских выборов, он внезапно покинул страну. Он сказал, что его компьютер заражен вирусом. По сообщениям, найденная на его компьютере вредоносная программа является самой ранней из известных версий, и была загружена на VirusTotal в ноябре 2015 года. Гаджилы также рассказывает о своей борьбе за домен «Raminhacili.info», который в сентябре 2015 года был помечен Google как вредоносный.
Гаджилы сказал Amnesty International, что он покинул Азербайджан, чтобы получить техническую помощь от своих знакомых в Турции, и как только нейтрализовал вредоносное ПО, воздействующее на его компьютер, вернулся в страну. По его словам, как только он публикует материалы о лицах, стоящих за этими атаками, атаки возобновляются. Полтора года назад Гаджилы подал официальную жалобу в полицию, но за прошедшее время ничего не изменилось.
Вредоносные программы
Вредоносная программа в этой кампании, которую мы назвали AutoItSpy, представляет собой очень простое сочетание двух программ, написанных с помощью AutoIt. При запуске вредоносная программа пытается открыть связанный с ним документ, который действует как приманка. В фоновом режиме агент устанавливается и запускается при включении компьютера. Вирус указывает IP-адрес и системные настройки компьютера жертвы. Затем агент постоянно записывает нажатия клавиш пользователя и фиксирует скриншоты, и что вполне вероятно, получает учетные данные для онлайн-платформ, таких как электронная почта и социальные сети.
Подробнее отчет о AutoItSpy можно увидеть, перейдя по этой
ссылке
.
Кто стоит за этой кампанией?
AutoItSpy, по-видимому, была разработана носителями на азербайджанском языке и использует инфраструктуру внутри Азербайджана. По данным, зафиксированым в VirtualRoad.org Amnesty, программа определяет IP-адреса и атаки совершаются с инфраструктур, где размещены правительственные органы.
Кто такая Пантера?
За месяц до первого обнаруженного образца AutoItSpy человек с псевдонимом «P_a_n_t_e_r_a» и «pantera» вошел в IRC-чат, связанный с программным обеспечением для мониторинга сети с открытым исходным кодом с того же IP-адреса, что и основной сервер Command & Control. В нескольких случаях общедоступные журналы описывают pantera, запрашивающего техническую поддержку, связанную с настройкой предупреждений для системы, предназначенной для мониторинга почтового сервера с компьютера, изолированного от Интернета. Этот интерес далее согласуется с фильтрацией AutoItSpy данных через публичный почтовый сервер. Кроме того, согласно более ранним данным того же года обнаруживается, что pantera обратился в чат-комнату с альтернативного адреса на том же ISP (85.132.24.74). Этот адрес указан в заявлениях об атаках на сайт Avropa.info в феврале 2014 года, а также об атаках, зафиксированных VirtualRoad.org. Небольшая разница во времени указывает на более слабое соединение между Pantera и AutoItSpy, однако их действия дают основания считать, что между ними есть связь.
Блок сетевого адреса (85.132.78.0/24), используемый для почтового сервера AutoItSpy, по большей части населен коммуникационной инфраструктурой компаний по добыче природных ресурсов, финансов и банковского сектора в Азербайджане.
Другой адресный блок сети (85.132.24.0/22), используемый ранее игроком «pantera», преимущественно вмещает правительственную инфраструктуру, такую как Министерство иностранных дел, Министерство юстиции и Государственное телевидение.
Ответ правительства Азербайджана
Проект этого отчета был отправлен на официальный адрес электронной почты посольства Азербайджана в Лондоне, который предоставил следующий комментарий с другого адреса:
«Мы хотели бы четко заявить, что очень серьезно относимся к проблеме кибер-безопасности и осуждаем все нападения на правительственные и неправительственные информационные объекты. Когда граждане Азербайджанской Республики подвергаются таким кибератакам, мы ждем, что они должным образом уведомят соответствующие органы власти, чтобы они могли провести тщательное и подробное расследование таких случаев.
Мы понимаем, что случаи, указанные в докладе Amnesty International, не были доведены до сведения властей, поэтому мы не были своевременно уведомлены об этих нападениях.
Мы также призываем международные правозащитные организации, в том числе Amnesty International, положить конец предвзятому отношению к правительству Азербайджана. Мы считаем этот доклад еще одной попыткой дискредитировать правительство без установления фактов по этому делу и любых убедительных доказательств в поддержку предполагаемого участия, и выражаем надежду на то, что эта непродуктивная практика будет прекращена во имя объективности, справедливости и здравого смысла».
Результат: Не имея прямые технических доказательств, мы не можем говорить, что атаки производились со стороны государственных органов. Также жертвами таких атак являются лица, которые были арестованы по политическим мотивам или же правительство Азербайджана оказывало на них давление. Эта кампания проводилась в соответствии с репрессивной тактикой азербайджанской власти в отношении правозащитников и активистов.
